集團(tuán)云數(shù)據(jù)中心災(zāi)備體系規(guī)劃設(shè)計(jì)

1、PAGE 集團(tuán)云數(shù)據(jù)中心災(zāi)備體系規(guī)劃設(shè)計(jì)目錄 TOC o 1-3 h z u HYPERLINK l _Toc47297762 1前言 PAGEREF _Toc47297762 h 2 HYPERLINK l _Toc47297763 1.1背景 PAGEREF _Toc47297763 h 2 HYPERLINK l _Toc47297764 1.2文檔目的 PAGEREF _Toc47297764 h 2 HYPERLINK l _Toc47297765 1.3適用范圍 PAGEREF _Toc47297765 h 2 HYPERLINK l _Toc47297766 1.4參考文檔 PA

2、GEREF _Toc47297766 h 2 HYPERLINK l _Toc47297767 2容災(zāi) PAGEREF _Toc47297767 h 3 HYPERLINK l _Toc47297768 2.1災(zāi)備的概念 PAGEREF _Toc47297768 h 3 HYPERLINK l _Toc47297769 2.2相關(guān)標(biāo)準(zhǔn)及考量依據(jù) PAGEREF _Toc47297769 h 4 HYPERLINK l _Toc47297770 2.3災(zāi)備體系建設(shè) PAGEREF _Toc47297770 h 7 HYPERLINK l _Toc47297771 2.4集團(tuán)災(zāi)備規(guī)劃 PAGERE

3、F _Toc47297771 h 9前言背景集團(tuán)信息中心中心引入日趨成熟的云計(jì)算技術(shù)，建設(shè)面向全院及國網(wǎng)相關(guān)單位提供云計(jì)算服務(wù)的電力科研云，支撐全院各個單位的資源供給、數(shù)據(jù)共享、技術(shù)創(chuàng)新等需求。實(shí)現(xiàn)云計(jì)算中心資源的統(tǒng)一管理及云計(jì)算服務(wù)統(tǒng)一提供；完成云計(jì)算中心的模塊化設(shè)計(jì)，逐漸完善云運(yùn)營、云管理、云運(yùn)維及云安全等模塊的標(biāo)準(zhǔn)化、流程化、可視化的建設(shè)；是本次咨詢規(guī)劃的主要考慮。文檔目的本文檔為集團(tuán)云計(jì)算咨詢項(xiàng)目的咨詢設(shè)計(jì)方案，將作為集團(tuán)信息中心云計(jì)算建設(shè)的指導(dǎo)性文件和依據(jù)。適用范圍本文檔資料主要面向負(fù)責(zé)集團(tuán)信息中心云計(jì)算建設(shè)的負(fù)責(zé)人、項(xiàng)目經(jīng)理、設(shè)計(jì)人員、維護(hù)人員、工程師等，以便通過參考本文檔資料指導(dǎo)

4、集團(tuán)云計(jì)算數(shù)據(jù)中心的具體建設(shè)。參考文檔集團(tuán)云計(jì)算咨詢項(xiàng)目訪談紀(jì)要信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求（GB/T 22239-2008）信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T20988-2007）OpenStack Administrator Guide（ HYPERLINK / /）OpenStack High Availability Guide（ HYPERLINK / /）OpenStack Operations Guide（ HYPERLINK / /）OpenStack Architecture Design Guide（ HYPERLINK / /）容災(zāi)災(zāi)備的概念災(zāi)備是由計(jì)劃和執(zhí)行過程

5、組成的策略，其目的是為了保證企業(yè)包括生產(chǎn)、銷售、市場、財(cái)務(wù)、管理以及其他各種重要的功能完全在內(nèi)的運(yùn)營狀況百分之百可用?？梢赃@樣說，業(yè)務(wù)連續(xù)性是覆蓋整個企業(yè)的技術(shù)以及操作方式的集合，其目的是保證企業(yè)信息流在任何時(shí)候以及任何需要的狀況下都能保持業(yè)務(wù)連續(xù)運(yùn)行。據(jù)IDC在2000年的統(tǒng)計(jì)數(shù)字表明，美國在2000年以前的10年間因?yàn)楦鞣N威脅原因造成業(yè)務(wù)中斷災(zāi)難事故的公司中，有55%當(dāng)時(shí)倒閉。剩下的45%中，因?yàn)閿?shù)據(jù)丟失，有29%也在兩年之內(nèi)倒閉，生存下來的僅占16%。 而隨著企業(yè)對數(shù)據(jù)處理依賴程度的遞增，此比例還有上升的趨勢。當(dāng)人們看到以摩根斯坦利公司為代表的有著完善容災(zāi)措施保證業(yè)務(wù)連續(xù)性的一批金融企業(yè)

6、在“9.11”事件后用很短的時(shí)間恢復(fù)正常運(yùn)作，將損失降到最小，而在事件發(fā)生前350家在世貿(mào)大廈工作的企業(yè)中，有200多家企業(yè)由于重要系統(tǒng)的破壞，關(guān)鍵數(shù)據(jù)的丟失，缺乏業(yè)務(wù)連續(xù)性保證的措施而永遠(yuǎn)的關(guān)閉、消失。業(yè)務(wù)連續(xù)性保障的重要性為人們所矚目。災(zāi)難不僅指自然的原因，如火災(zāi)、地震、恐怖襲擊等小概率、大影響的災(zāi)難，也包括人為的原因，如人員錯誤，流程缺陷等事件的威脅。對于信息系統(tǒng)的連續(xù)性運(yùn)行來說，災(zāi)難的范圍很寬泛，任何必須恢復(fù)的數(shù)據(jù)訪問中斷都是災(zāi)難。而容災(zāi)是一個系統(tǒng)工程，從廣義上來說，所有與業(yè)務(wù)連續(xù)性相關(guān)的內(nèi)容都屬于容災(zāi)的范疇。從狹義的角度，我們平常所談?wù)摰娜轂?zāi)是指除了生產(chǎn)站點(diǎn)以外，用戶另外建立的冗余站

7、點(diǎn)，當(dāng)災(zāi)難發(fā)生，生產(chǎn)站點(diǎn)受到破壞時(shí)，冗余站點(diǎn)可以接管用戶正常的業(yè)務(wù)，達(dá)到業(yè)務(wù)盡量不間斷的目的，減少客戶的損失。但是，業(yè)務(wù)連續(xù)性并不是指業(yè)務(wù)永遠(yuǎn)不中斷，它更強(qiáng)調(diào)業(yè)務(wù)在災(zāi)難發(fā)生時(shí)快速的恢復(fù)能力。不僅要使業(yè)務(wù)功能在災(zāi)難后能得到全面恢復(fù)，還要確保關(guān)鍵業(yè)務(wù)功能在中斷或?yàn)?zāi)難事件中，能夠迅速地恢復(fù)持續(xù)運(yùn)行。相關(guān)標(biāo)準(zhǔn)及考量依據(jù)隨著災(zāi)難恢復(fù)業(yè)務(wù)的持續(xù)發(fā)展，國際和國內(nèi)均制定了一些有關(guān)災(zāi)難恢復(fù)的標(biāo)準(zhǔn)。其中，國際上得到最廣泛承認(rèn)和使用的標(biāo)準(zhǔn)是SHARE78，而我國國信辦出臺的信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范。兩個標(biāo)準(zhǔn)在劃分等級的個數(shù)上有所不同，如在國際標(biāo)準(zhǔn)SHARE78里，容災(zāi)系統(tǒng)被分為7個等級；而國信辦的信息安全技

8、術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范里，容災(zāi)系統(tǒng)被分為6個等級，但是兩個標(biāo)準(zhǔn)的內(nèi)容基本一致。信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)SHARE78（國際標(biāo)準(zhǔn)）描述GB/T 20988-2007信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范Tier 0，沒有異地?cái)?shù)據(jù)即沒有任何異地備份或應(yīng)急計(jì)劃。數(shù)據(jù)在本地進(jìn)行備份恢復(fù)，沒有數(shù)據(jù)送往異地。第一級，基本支持Tier 1，PTAM卡車運(yùn)送訪問方式必須設(shè)計(jì)一個應(yīng)急方案，能夠備份所需的信息并存儲在異地。PTAM指將本地備份的數(shù)據(jù)用交通工具送到異地。Tier 2，PTAM卡車運(yùn)送訪問方式+熱備份中心Tier 1加上熱備份中心，熱備份中心有足夠的硬件和網(wǎng)絡(luò)設(shè)備支撐關(guān)鍵應(yīng)用。第二級，備用場地支持Tier 3，電子鏈接Ti

9、er 2基礎(chǔ)上通過電子鏈路取代了卡車進(jìn)行數(shù)據(jù)傳送的方式，熱備中心保持運(yùn)行狀態(tài)。第三級，電子傳輸及部分設(shè)備支持Tier 4，活動狀態(tài)備份中心兩個中心同時(shí)處于活動狀態(tài)，并同時(shí)相互備份。工作負(fù)載可在兩個中心分擔(dān)。第四級，電子傳輸及完整設(shè)備支持Tier 5，兩個活動數(shù)據(jù)中心，確保數(shù)據(jù)一致性保證數(shù)據(jù)完整性和一致性，兩數(shù)據(jù)中心的數(shù)據(jù)被同時(shí)更新（同步），災(zāi)難時(shí)僅需要補(bǔ)回傳送中的丟失數(shù)據(jù)即可。第五級，實(shí)時(shí)數(shù)據(jù)傳輸及完整設(shè)備支持Tier 6，數(shù)據(jù)零丟失，自動系統(tǒng)故障切換零數(shù)據(jù)丟失，是災(zāi)難恢復(fù)的最高級別，數(shù)據(jù)在兩中心被更新，利用雙重在線存儲和安全的網(wǎng)絡(luò)切換能力，提供快站點(diǎn)動態(tài)負(fù)載分擔(dān)和自動故障切換。第六級，數(shù)據(jù)零

10、丟失和遠(yuǎn)程集群支持業(yè)務(wù)連續(xù)性主要關(guān)注的是IDC出現(xiàn)故障后能否以很短的時(shí)間恢復(fù)正常運(yùn)行，是否能對核心業(yè)務(wù)的影響減輕到最小。因此，業(yè)務(wù)連續(xù)性考量的幾個關(guān)鍵指標(biāo)是RTO、RPO和ROI。RTO (Recovery Time Objective)是恢復(fù)時(shí)間目標(biāo)，是發(fā)生災(zāi)難后，恢復(fù)業(yè)務(wù)系統(tǒng)環(huán)境的時(shí)間。表示完成應(yīng)用（及其相關(guān)業(yè)務(wù)流程）并保證技術(shù)組件恢復(fù)到能夠正常執(zhí)行事務(wù)處理或業(yè)務(wù)職能的最長時(shí)間，即能夠接受的業(yè)務(wù)停機(jī)時(shí)間。理論上恢復(fù)的時(shí)間越短，損失就越小。但是，RTO 并不意味著“100%恢復(fù)”，它通常指的是降級處理模式（例如減少容量，降低性能）。RPO（Recovery Point Objective）是

11、恢復(fù)點(diǎn)目標(biāo)，是發(fā)生災(zāi)難前后一次數(shù)據(jù)備份的時(shí)間，也就是指某個時(shí)刻，應(yīng)用數(shù)據(jù)必須恢復(fù)到這個時(shí)刻才能繼續(xù)執(zhí)行事務(wù)處理。它規(guī)定了需要將信息恢復(fù)到哪個數(shù)據(jù)流點(diǎn)，或者說，企業(yè)能夠忍受丟失多少數(shù)據(jù)。理論上丟失的數(shù)據(jù)越少，損失就越小。ROI（Return On Investment ）是指用戶的投資回報(bào)。業(yè)務(wù)連續(xù)性有不同的解決方案，可以滿足不同的RTO和RPO標(biāo)準(zhǔn)，相應(yīng)的成本也不同。業(yè)務(wù)連續(xù)性性能指標(biāo)圖國標(biāo)中對于容災(zāi)的各個等級中RTO/RPO沒有硬性定義，但是依據(jù)業(yè)內(nèi)經(jīng)驗(yàn)RTO/RPO和等級的對應(yīng)關(guān)系示例如下：RTO/RPO和等級對應(yīng)關(guān)系表災(zāi)備等級RTORPO第1級2天以上1天至7天第2級24小時(shí)以上1天至7

12、天第3級12小時(shí)以上數(shù)小時(shí)至1天第4級數(shù)小時(shí)至2天數(shù)小時(shí)至1天第5級數(shù)十分鐘至數(shù)小時(shí)0至30分鐘第6級數(shù)分鐘至數(shù)小時(shí)0中國信息安全測評中心對災(zāi)難恢復(fù)等級做了更細(xì)化的解讀，從數(shù)據(jù)備份系統(tǒng)、 備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)、備用基礎(chǔ)設(shè)施、 技術(shù)支持、運(yùn)行維護(hù)支持以及災(zāi)難恢復(fù)預(yù)案各個方面做了明確的要求，具體要求見下表災(zāi)備等級一級要求符合列表災(zāi)備等級二級要求符合列表災(zāi)備等級三級要求符合列表災(zāi)備體系建設(shè)災(zāi)備體系的規(guī)劃建設(shè)主要包括兩部分，一部分是業(yè)務(wù)連續(xù)性體系的建立，一部分是體系驗(yàn)證階段。業(yè)務(wù)連續(xù)性體系的建立業(yè)務(wù)連續(xù)性體系的建立主要分為三個步驟：分析、設(shè)計(jì)和實(shí)施。災(zāi)難恢復(fù)需求分析：主要包括災(zāi)難分析、業(yè)務(wù)影

13、響分析和業(yè)務(wù)現(xiàn)狀及災(zāi)備能力分析。分析IT基礎(chǔ)架構(gòu)和業(yè)務(wù)的現(xiàn)狀，包括絡(luò)架構(gòu)、數(shù)據(jù)存儲架構(gòu)、數(shù)據(jù)處理系統(tǒng)架構(gòu)、數(shù)據(jù)備份系統(tǒng)架構(gòu)等，了解對信息系統(tǒng)構(gòu)成潛在破壞的可能性因素，對現(xiàn)有的安全措施進(jìn)行評估，評估現(xiàn)有措施的限制，確認(rèn)需求與實(shí)際的差異分析，識別面臨的潛在風(fēng)險(xiǎn)點(diǎn)。策略和架構(gòu)設(shè)計(jì)，包括：設(shè)計(jì)體系化的災(zāi)備方案。包括災(zāi)備中心布局和定位，建設(shè)的范圍、指標(biāo)和等級，技術(shù)實(shí)現(xiàn)方案的選擇，信息系統(tǒng)災(zāi)難恢復(fù)組織的建設(shè)，以及災(zāi)備中心的運(yùn)營管理；制定災(zāi)難恢復(fù)的策略和建設(shè)規(guī)劃。確定系統(tǒng)恢復(fù)的優(yōu)先級和恢復(fù)目標(biāo)，災(zāi)難恢復(fù)系統(tǒng)的建設(shè)路線、工作內(nèi)容、負(fù)責(zé)的部門以及時(shí)間計(jì)劃。災(zāi)難技術(shù)方案的實(shí)施則包括三部分內(nèi)容：技術(shù)實(shí)施工作計(jì)劃和方

14、案制定。制定災(zāi)備技術(shù)架構(gòu)建設(shè)的工作計(jì)劃，明確實(shí)施的要點(diǎn)及里程碑；制定災(zāi)備技術(shù)實(shí)施方案，以指導(dǎo)后續(xù)的設(shè)備安裝、調(diào)試、以及綜合測試工作。技術(shù)實(shí)施與測試階段。各廠商按照實(shí)施計(jì)劃和方案要求，進(jìn)場進(jìn)行設(shè)備安裝、調(diào)試以及綜合測試工作。技術(shù)操作手冊等文檔的制定。在技術(shù)實(shí)施過程中，各廠商技術(shù)人員按照要求準(zhǔn)備各自專項(xiàng)的技術(shù)操作和維護(hù)手冊等文檔。體系驗(yàn)證階段體系驗(yàn)證階段主要包括：災(zāi)難恢復(fù)預(yù)案咨詢：包括應(yīng)急及災(zāi)難恢復(fù)組織架構(gòu)，災(zāi)難事件發(fā)生時(shí)的應(yīng)急響應(yīng)策略和流程設(shè)計(jì)，以及災(zāi)難恢復(fù)和重續(xù)運(yùn)行的恢復(fù)流程設(shè)計(jì)。災(zāi)備中心運(yùn)維管理體系規(guī)劃：包括災(zāi)備中心組織架構(gòu)及崗位職責(zé)設(shè)計(jì)，災(zāi)備中心運(yùn)維管理流程規(guī)劃及相關(guān)制度模版。災(zāi)難恢復(fù)演練

15、：包括演練方案設(shè)計(jì)、演練前的技術(shù)測試、演練環(huán)境準(zhǔn)備、演練培訓(xùn)、演練實(shí)施的組織、演練應(yīng)急的組織與協(xié)調(diào)，以及演練總結(jié)報(bào)告。集團(tuán)災(zāi)備規(guī)劃建設(shè)分布式多數(shù)據(jù)中心是提高業(yè)務(wù)連續(xù)性的重要手段，業(yè)內(nèi)建設(shè)多中心的模式一般有如下四種：模式一：建設(shè)同城災(zāi)備中心。這種模式下生產(chǎn)中心和災(zāi)難備份中心距離比較近，比較容易實(shí)現(xiàn)數(shù)據(jù)的同步鏡像，可以保證數(shù)據(jù)完整性和數(shù)據(jù)零丟失。同城災(zāi)備中心可以防范火災(zāi)、建筑物破壞等可能遭遇的風(fēng)險(xiǎn)隱患，但對于戰(zhàn)爭、地震、水災(zāi)等隱患力不從心。模式二：異地備份中心。這種模式下生產(chǎn)中心和備份中心跨城域，距離比較遠(yuǎn)。可以通過異步鏡像/復(fù)制備份數(shù)據(jù)，但是無法保證數(shù)據(jù)零丟失。如果遠(yuǎn)距離同步鏡像，則交易效率太低

16、、通信成本太高。模式三：兩地三中心。兩地三中心的建設(shè)模式結(jié)合了“同城異地”的優(yōu)點(diǎn)，在異地備份中心具有完整的災(zāi)難接管能力的情況下，建立同城備份站點(diǎn)，可使同城災(zāi)備中心具有應(yīng)用接管能力，也可以讓同城災(zāi)備中心只是一個同步數(shù)據(jù)鏡像站點(diǎn)。模式四：兩級多中心?？偛颗c區(qū)域兩級架構(gòu)，總部級數(shù)據(jù)中心互為主備，同時(shí)做為區(qū)域級中心的異地容災(zāi)中心，區(qū)域級數(shù)據(jù)中心作為生產(chǎn)中心，共享總部級異地災(zāi)備，保證災(zāi)難接管的能力，同時(shí)降低成本?？绯怯蜻h(yuǎn)距離容災(zāi)，異步復(fù)制/鏡像數(shù)據(jù)級無法保證數(shù)據(jù)零丟失，同步鏡像成本高。建議應(yīng)先建立災(zāi)備中心，再逐步推進(jìn)到雙活，“兩地三中心”提高了業(yè)務(wù)連續(xù)性保障，是當(dāng)前大部分企業(yè)最主要的建設(shè)模式，集團(tuán)當(dāng)前已

17、具備建設(shè)多中心的物理基礎(chǔ)條件。集團(tuán)各中心的功能劃分如下：北京昌平做為作為清河的同城災(zāi)備中心，武漢、南京2個資源池?cái)?shù)據(jù)備份到清河中心；南京作為北京異地災(zāi)備中心； 昌平災(zāi)備中心和清河生產(chǎn)中心在資源的投入上基本上是0.X：1，災(zāi)備中的資源要小于生產(chǎn)中心。只有當(dāng)生產(chǎn)中心不可用時(shí)，災(zāi)備中心臨時(shí)接管生產(chǎn)業(yè)務(wù)，當(dāng)生產(chǎn)中心恢復(fù)后，生產(chǎn)業(yè)務(wù)從災(zāi)備中心回切到生產(chǎn)中心；未來發(fā)展至雙活數(shù)據(jù)中心時(shí)，部分需要雙活的業(yè)務(wù)可以在清河和昌平跨中心雙活部署；南京和武漢需要在本地備份數(shù)據(jù)，當(dāng)本地?zé)o法恢復(fù)業(yè)務(wù)時(shí)，才考慮在北京清河接管業(yè)務(wù)；隨著業(yè)務(wù)規(guī)模的擴(kuò)大，集團(tuán)在行業(yè)內(nèi)的影響力會越來越大，業(yè)務(wù)宕機(jī)所帶來的經(jīng)濟(jì)損失和社會輿論壓力將會大大影響企業(yè)在行業(yè)內(nèi)的領(lǐng)導(dǎo)力。當(dāng)業(yè)務(wù)能力達(dá)到這樣一個水平時(shí)，需要考慮針對重要的業(yè)務(wù)建設(shè)應(yīng)用級災(zāi)備，保障業(yè)務(wù)的連續(xù)運(yùn)行能力。應(yīng)用級災(zāi)備主要通過在多個中心同時(shí)部署同一業(yè)務(wù)，當(dāng)一個數(shù)據(jù)中心